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Abstract 



The invention concerns a method and arrangement for rendering telecommunication operations and 
relations anonymous in telematic applications, an arrangement logically disposed between the 
telecommunication network and the telematic service control centre removing from the communication 
operation all the features enabling the telematic service operator or provider to identify the terminating 
subscriber. These features are replaced by an unequivocal temporary identifier which is unknown outside 
the arrangement and changes sufficiently frequently. For a limited amount of time, the permanent identifier is 
mapped on the temporary identifier. 
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Abstract of DE1 9638072 

The invenUon concerns a method and arrangement for rendering telecommunication operations ana 
relations anonymous in telematic applications, an arrangement logically disposed between the 
telecommunication network and the telematic service control centre removing from the communication 
operation all the features enabling the telematic service operator or provider to identify the terminating 
subscriber. These features are replaced by an unequivocal temporary idennfier which is unknown outsi 
the arrangement and changes sufficiently frequently. For a limited amount of time, the permanent 
identifier is mapped on the temporary identifier. 
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(§) Verfahren und Einrichtung zur Anonymisierung von Telekommunikationsvorgangen und -beziehungen bei 
Telematikanwendungen 

@ Beschrieben wird ein Verfahren sowie eine Einrichtung zur 
Anonymisierung von Telekommunikationsvorgangen und 
-beziehungen bei Telematikanwendungen, wobei eine lo- 
gisch zwischen Telekommunikationsnetz und Telematik-Ser- • 
vice-Zentrale befindliche Einrichtung gegenuber dem Betrei- 
ber/Anbieter von Telematik-Dienstleistungen alte den End- 
teilnehmer identrfizierenden Merkmale aus dem Kommuni- 
kationsvorgang entfemt. Sie warden durch eine eindeutige, 
auBerhalb der Einrichtung unbekannte und hinreichend 
haufig wechselnde temporare Identifikation ersetzt und fur 
eine begrenzte Zeit wird die Abbildung der permanenten 
Identifikation auf die temporare Identifikation gewShrleistet. 
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Beschreibung 

Telematikanwendungen (z.B. Mautverfahren und 
Verfahren zur Errnitdung von dynamischen Verkehrsin- 
formationen) konnen zur Erbringung der gewOnschten 3 
Dienstleistung die Obertragung von Angaben zum Auf- 
enthaltsort des Dienstenutzers/Kunden zu einer be- 
stimmten Zeit an den Betreiber des Telematiksystems 
erforderlich machen. ErhSlt der Betreiber dann zusatz- 
lich Informationen zur Identitat des Nutzers, so wird er 10 
in die Lage versetzt, detaillierte Bewegungsprofile zu 
erstellen, was fur die Akzeptanz des Gesamtproduktes 
nicht wunschenswert und in bestimmten Fallen auch 
datenschutzrechtlich bedenklich ist Einige Telekommu- 
nikationsanordnungen liefern heute gerade diese identi- 15 
fizierenden Merkmale; ein typisches Beispiel ist die sy- 
stemiramanente Bereitstellung der Absenderrufnum- 
mer bei Nachrichtenubertragung mit Short Message 
Service (SMS) in GSM-Mobilfunknetzen. 

Aufgabe der beschriebenen Erfindung ist die Entfer- 20 
nung der den Endkunden identifizierenden Merkmale 
aus dem Kommunikationsvorgang, bevor diese den Be- 
treiber des Telematiksystems erreichen. 

Die Aufgabe wird durch die in den Merkmalen des 
Patentanspruchs 1 gelost 25 

Vorteil des erfindungsgemaBen Verfahrens ist, daB 
sowohl die Anforderungen des Datenschutzes erfullt 
sind, als auch die Vertraglichkeit mit vorhandenen Tele- 
kommunikationsnetzen gegeben ist 

Ein Beispiel fur die Erfindungsidee wird im folgenden 30 
anhand der Fig. 1 erlautert Das in Fig. 1 dargestellte 
Verfahren garantiert, daB der Betreiber des Telematik- 
systems nicht in den Besitz von Informationen zur Iden- 
titat des Absenders von Daten kommen kann, indem im 
Falle SMS als einer moglichen Auspragung eines Tele- 35 
kommunikationsnetzes (2) die Absenderrufnummer 
durch eine temporare Identitat ersetzt wird. Die Abbil- 
dung von permanenter Identitat auf temporare Identitat 
bei Nachrichten von der kundenseitigen Endeinrichtung 
(1) zur Servicezentrale (4) sowie von temporarer Identi- 40 
tat auf permanente Identitat bei Nachrichten von der 
Zentrale (4) zum Kunden (1) wird fur eine vorgegebene, 
begrenzte Zeit sichergestellt (33), wobei die Abbildung 
innerhalb der Einrichtung (3) vor unbefugtem Zugriff 
geschutzt gespeichert wird (3.4). Die temporare Identi- 45 
tat wird von der Einrichtung automatisch vergeben und 
bei lang andauemden Kommunikationsbeziehungen 
ggf. gewechselt 

Grundsatzlich besteht bei anonymisierten Kommuni- 
kationsvorgangen, die Gefahr, daB in Mi&brauchsfaHen 50 
der Verursacher nur schwer festgestellt werden kann. 
Typische MiBbrauchsszenarien in Telematikanwendun- 
gen sind die Lieferung gefaischter/manipulierter Daten 
und die Schadigung des Dienstebetreibers durch Zustel- 
lung unerwunschter Daten uber Kommunikationswege, 55 
deren Kosten nicht zu Lasten des Absenders sondern 
des Dienstebetreibers gehen (Reverse Charging). Um 
diesem MiBbrauchsrisiko zu begegnen, beinhaltet die 
erfindungsgemaBe Losung die Moglichkeit, auf Anfor- 
derung des Dienstebetreibers fur einzelne Kommunika- so 
tionsvorgange die Anonymitat aufzuheben (3.5), so daB 
MaBnahmen der MiBbrauchsverfolgung eingeleitet 
werden konnen. 

Die beschriebene L6sung ist durch variable Schnitt- 
stellenanpassungen (3.1) unabhangig von bestimmten 65 
Kommunikationswegen und -netzen einsetzbar, d. h. ne- 
ben GSM-SMS auch fur den zukUnftigen GSM-GPRS 
(General Packet Radio Service), Paketnetze nach X.25, 



TCP/IP sowie ISDN und andere. 

Patentansprflche 

1. Verfahren zur Anonymisierung von Telekommu- 
nikationsvorgangen und -beziehungen bei Telema- 
tikanwendungen, dadurch gekennzeichnet, daB ei- 
ne logisch zwischen Telekommunikationsnetz und 
Telematik-Service-Zentrale beflndliche Einrich- 
tung gegeniiber dem Betreiber/Anbieter von Tele- 
matikdienstleistungen alle den Endteilnehmer iden- 
tifizierenden Merkmale aus dem Kommunikations- 
vorgang entfernt, durch eine eindeutige, auBerhalb 
der Einrichtung unbekannte und hinreichend haufig 
wechselnde temporare Identifikation ersetzt und 
fur eine begrenzte Zeit die Abbildung der perma- 
nenten Identifikation auf die temporare Identifika- 
tion gewahrleistet. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB bei der bidirektionalen Kommunika- 
tion zusatzlich eine Abbildung der temporaren 
Identifikation auf die permanente Identifikation er- 
folgt 

3. Verfahren nach einem oder mehreren der An- 
spriiche 1 bis 2, dadurch gekennzeichnet, daB die 
logisch zwischen Telekommunikationsnetz und Te- 
lematik-Service-Zentrale befindliche und die Ano- 
nymisierung durchsetzende Einrichtung mittels ei- 
ner festgelegten Schnittsteile von technischen Ein- 
richtungen des Betreibers/Anbieters von Telema- 
tikdiensten so getrennt ist, daB sie organisatorisch 
unabhangig von den Telematikdiensten, d h. unter 
Kontrolle eines Telekommunikationsnetzbetrei- 
bers oder eines unabhangigen Dritten betrieben 
werden kann. 

4. Verfahren nach einem oder mehreren der An- 
spruche 1 bis 3, dadurch gekennzeichnet, daB bei 
MiBbrauch zu Lasten des Anbieters/Betreibers von 
Telematikdiensten oder dessen Kunden (z. B. liefe- 
rung gefaischter/manipulierter Daten zur Storung 
des Systems) , insbesondere bei Nutzung eines fur 
den Verursacher kostenlosen Kommunikationska- 
nals (Reverse Charging) die Aufhebung der Anony- 
mitat des Storers innerhalb eines festgelegten Zeit- 
intervalls nach der Storung auf Verlangen des An- 
bieters/Betreibers von Telematikdiensten rridglich 
ist 

5. Verfahren nach einem oder mehreren der An- 
spriiche 1 bis 4, dadurch gekennzeichnet, daB es 
verfahrenstechnisch grundsatzlich unabhangig von 
bestimmten Telekommunikationsdiensten und 
-netzen ist, jedoch implementierungstechnisch in 
Netzelemente von Telekommunikationssystemen 
integriert werden kann. 

6. Verfahren nach einem oder mehreren der An- 
spruche 1 bis 5, dadurch gekennzeichnet, daB bei 
Nutzung von kryptographischen Verfahren zur Si- 
cherung der Vertraulichkeit und Manipulationssi- 
cherheit von Kommunikationsvorgangen, sofern 
diese teilnehmerindividuelle Parameter verwenden 
(Schlussel eta), die logisch zwischen Telekommuni- 
kationsnetz und Telematik-Service-Zentrale ange- 
ordnete Anonymisierungseinrichtung kryptogra- 
phische Transformationen zur Separation der 
Schlflsselkreise vomimmt. 

7. Einrichtung zur Durchfuhrung des Verfahrens 
nach einem oder mehreren der AnsprOche Ubis 6, 
dadurch gekennzeichnet, daB sie aus folgenden 



DE 196 38 072 

3 

Komponenten besteht: 

— Einrichtung zur Schnittstellenanpassung an 
Telekommunikationsdienst (e) /-netz (e), 

— Einrichtung zur Filterung/Konvertierung 
identifizierender Merkmale, s 

— Einrichtung zur geschtltzten Speicherung 
der Abbildungen zwischen personenbeziehba- 
ren und anonymen Parameters 

— Einrichtung zur kontrollierten Aufhebung 
der Anonymitat in Einzelfallen io 

— Einrichtung filr kryptographische Transfor- 
mationen (optional) , wobei diese Einrichtung 
insgesamt alle relevanten Kommunikations- 
vorgange zwischen Telematikdienstezentrale 
und Endeinrichtung des KLunden an der logi- 15 
schen Schnittstelle zwischen Telematikdien- 
stezentrale und Telekommunikationsnetz kon- 
trolliert(vgl.Fig. 1). 
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